Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.04.2012, 14:37   #1
AfricanKing
 
3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507 - Standard

3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507



Hallo.

Ich hab mir nen Exploit eingefangen. Sieht wohl so aus, als ob das beim browsen passiert ist auf irgend ner infizierten Seite (m.E. war es auf rslinks.org). Werde die Seite in Zukunft meiden. Ich hatte im Februar schonmal nen Exploit drauf, wo ihr mir geholfen habt.
Also, antivir hat folgende Meldung gebracht:
Code:
ATTFilter
C:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\2256932c-591ba6bc
  [0] Archivtyp: ZIP
  --> ta/tb.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2011-3544.CZ
  --> ta/ta.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Loader.Gen
  --> ta/L.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507

Beginne mit der Desinfektion:
C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\2256932c-591ba6bc
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b87e4c.qua' verschoben!
         
So wie das aussieht hat antivir auch nur einen der 3 in Quarantäne verschoben.

Ich lasse jetzt grad mwb drüber laufen und werde danach den eset online scanner laufen lassen. Werde dann die Ergebnisse hier einstellen.

Vielen Dank schonmal.
Gruss, Manuel.

Hi

MWB ist jetzt fertig. Hier das log:
Code:
ATTFilter
 Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.06.02

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
African King :: AFRICANKING-PC [Administrator]

06.04.2012 14:24:39
mbam-log-2012-04-06 (14-24-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 301639
Laufzeit: 49 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Werde jetzt eset laufen lassen und dann wieder das log einstellen.

So.
eset ist jetzt auch fertig. Hat nix gefunden. Hier das log:
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=c7be9802a810d14f86c8ea46bd2cce65
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-12 04:27:15
# local_time=2012-02-12 06:27:15 (+0200, Südafrika Normalzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=1792 16777215 100 0 4664893 4664893 0 0
# compatibility_mode=5893 16776573 100 94 0 80690254 0 0
# compatibility_mode=8192 67108863 100 0 834 834 0 0
# scanned=116862
# found=0
# cleaned=0
# scan_time=3631
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=c7be9802a810d14f86c8ea46bd2cce65
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-06 02:35:07
# local_time=2012-04-06 04:35:07 (+0200, Südafrika Normalzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=1792 16777215 100 0 9323890 9323890 0 0
# compatibility_mode=5893 16776573 100 94 429 85349251 0 0
# compatibility_mode=8192 67108863 100 0 4659831 4659831 0 0
# scanned=117442
# found=0
# cleaned=0
# scan_time=3506
         
Werde jetzt dann nochmal antivir laufen lassen und dann auf eure Anweisungen warten. Also es war definitiv als ich auf der o.g. Seite war. Da kam die Meldung mit dem Exploit. Ich habe dann sofort auf Zugriff verweigern geclickt. Die Meldung kam dann aber immer wieder bis ich die Seite zugemacht habe. Sieht wohl so aus als ob es trotz Zugriff verweigern sich eingeschlichen hat.

Hoffe ihr könnt mir weiterhelfen.
Vielen Dank.

Alt 06.04.2012, 17:29   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507 - Standard

3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507



Welche Java-Version hast du installiert? Deinstallierst du auch immer die alten Versionen bevor du ein neue Java RE raufmachst?

Da Malwarebytes und ESET nichts gefunden haben, könnte man vermuten, dass der angebliche Explot nicht über den Browsercache hinausgekommen ist.
__________________

__________________

Alt 06.04.2012, 18:18   #3
AfricanKing
 
3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507 - Standard

3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507



Hi.

Du hattest mir beim letzten mal gesagt, dass ich die alten Java Versionen immer entfernen soll vor dem Update. Das hab ich auch gemacht.
Ich hab heute ne neue Java Version (v7 Update 3) draufgemacht. Die, die ich gelöscht hab vorher war die v6 update 31.
Das Java Update habe ich allerdings erst gemacht, nachdem die Meldung mit dem Exploit kam. Ich verspreche Besserung in Zukunft bei den Aktualisierungen.

Die Seite, bei der die Medlung kam scheint komplett verseucht zu sein. Bei jedem Werbungs pop up kommt de ne Meldung von gefährlichen Webseiten und dass antivir das geblockt hat. Gehe da jedenfalls nicht mehr drauf.

Dein Kommentar beruhigt mich ein wenig. Hoffe das Ding kam wirklich nicht übern cache hinaus.

Vielen Dank für deine schnelle Rückmeldung und das am Karfreitag. Bin beeindruckt.

Gruss,
Manuel.
__________________

Antwort

Themen zu 3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507
antivir, appdata, archiv, cache, code, datei, dateisystem, ergebnisse, eset, exp/cve-2012-0507, exploit, folge, folgende, fund, heuristiks/extra, heuristiks/shuriken, hinweis, infizierte, java, manuel, meldung, namen, online, scan, scanner, schonmal, seite, viren, zukunft



Ähnliche Themen: 3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507


  1. Avira Antivir findet JAVA/Agent.LP, EXP/JAVA.Ternub.Gen und EXP/CVE-2012-0507.AR
    Log-Analyse und Auswertung - 21.01.2013 (1)
  2. Exploit.Java.CVE-2011-3544.jy + Weitere Viren?
    Log-Analyse und Auswertung - 20.12.2012 (34)
  3. Java/Exploit.CVE-2011-3544.BR trojan
    Log-Analyse und Auswertung - 28.11.2012 (14)
  4. HEUR:Exploit.Java.CVE-2012-4681.gen" sowie mehrfach Exploit.Java.CVE-2012-0507.ou mit kaspersky gefunden in C:Dokumente und Einstellungen ge
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (11)
  5. AVSCAN hat mehrere Java-Viren JAVA/Agent.M* und Exploits EXP/CVE-2011-3544 gefunden
    Log-Analyse und Auswertung - 15.10.2012 (24)
  6. Laptop befallen von: Exploit.Java.cve-2011-3544.ji, Was tun?
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (12)
  7. Massig Viren und Trojanerfunde durch Avira. EXP/11-3544.EF.1, EXP/12-0507.BK.1, JAVA/Mabowl.F uvm.
    Log-Analyse und Auswertung - 18.07.2012 (10)
  8. Exploits EXP/0507.BY.3, EXP/5353.AJ.4.B, EXP/2012-0507.AW.2 bzw. JAVA/Dldr.Lama.AE.2 gefunden
    Log-Analyse und Auswertung - 11.07.2012 (18)
  9. Desinfec't 2012/Kaspersky findet Exploit.Java.CVE-2011-3544.** und Exploit.Java.CVE-2012-0507.**
    Plagegeister aller Art und deren Bekämpfung - 22.06.2012 (21)
  10. Desinfec't 2012/Kaspersky findet Exploit.Java.CVE-2011-3544.** und Exploit.Java.CVE-2012-0507.**
    Mülltonne - 11.06.2012 (0)
  11. Exploits der Sorte JAVA/Mabowl.F, EXP/11-3544 und EXP/12-0507 gefunden
    Log-Analyse und Auswertung - 28.05.2012 (11)
  12. Java-Script Virus: Exploit: Java/CVE-2011-3544.gen!E
    Plagegeister aller Art und deren Bekämpfung - 04.05.2012 (13)
  13. Exploit.Java.CVE-2012-0507.be in C:\Documents and Settings\Jonathan\Appdata\LocalLow\Sun\Java [...]
    Log-Analyse und Auswertung - 16.04.2012 (8)
  14. EXP/CVE-2011-3544.BY, EXP/JAVA.Ternub.Gen Wie bekomm ich die Viren weg/ Hab ich die noch?
    Plagegeister aller Art und deren Bekämpfung - 09.04.2012 (4)
  15. 2 Viren gefunden (Exploit) - EXP/CVE-2011-3544.E und EXP/CVE-2011-3544.J
    Plagegeister aller Art und deren Bekämpfung - 20.02.2012 (30)
  16. exploit.java.cve-2011-3544 irreparabel
    Plagegeister aller Art und deren Bekämpfung - 07.02.2012 (23)
  17. Windows Security Center 2012, Java/CVE-2011-3544.D und weitere Malware?
    Log-Analyse und Auswertung - 08.12.2011 (5)

Zum Thema 3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507 - Hallo. Ich hab mir nen Exploit eingefangen. Sieht wohl so aus, als ob das beim browsen passiert ist auf irgend ner infizierten Seite (m.E. war es auf rslinks.org). Werde die - 3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507...
Archiv
Du betrachtest: 3 Viren: EXP/2011-3544.CZ und EXP/JAVA.Loader.Gen und EXP/CVE-2012-0507 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.